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(57) Abstract: In order to secure messages that are exchanged in a data transmission network between a server (1) and a client (2), a 
control device that is decentralized or represents the authority (3) is permanently inserted into the network between the server (1) and 
the user (2) during the secured exchange of messages. Said representative of the authority (3) translates the transmitted messages 
and carries out the message verifications that have been decided by the authority. Said representative of the authority (3) can be 
a specific microprocessor card, for example, which is permanently inserted between the server (1) and the client (2), whereby the 



1/^ audiority does not need to be directly involved in the transactions and no permanent connection with the authority is required. 
VO 

(57) Abr6g6 : Pour securiser les messages echanges sur un reseau de transmissions de donnees entre un serveur (1) et un client (2), 
55 on intercale un dispositif de controle decentralise ou representant de Tautorite (3) en permanence dans le reseau entre le serveur 
(1) et le client (2) pendant T^change s^curis^ des messages. Le representant de Tautorite (3) effectue une traduction des messages 
tiansmis, et efifectue sur les messages tranmis les contrdles decides par Fautorit^. Ce representant de Tautorite (3) peut par exemple 
Stre une carte ^ microprocesseur sp^cifique, intercalee en permanence entre le serveur (1) et le client (2). Uautorite peut done ne pas 
Stre directement dans les transactions, et il n'est pas besoin d'une connexion pennanence avec Tautorite. 
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PROCEDE ET DISPOSITIF POUR SECURISER 
LES MESSAGES ECHANGES SUR UN RESEAU 
DOMAINE TECHNIQUE DE L' INVENTION 
La presente invention concerne les syst6mes d' information 
5 a r^seau de transmission de donnees dans lesquels la communication 
entre un serveur et un client s'effectue par 1 ' interm6diaire du 
r6seau sous le controle d'une autorit6 qui dSfinit des regies 
concernant cette communication. 

Le contrdle effectif des communications par l'autorit6 
10 necessite de contacter directement l'autorit6 en permanence, ce qui 
exige une connexion permanente ^ distance. 

Le contrdle effectif de la communication par I'autorit^ 
est souvent difficile a mettre en oeuvre, en particulier dans des 
situations ou l'autorit6 ne peut §tre directement contactee, dans 
15 des situations oil I'autorit^ ne souhaite pas etre directement 
impliqu^e dans une transaction, ou dans des situations ou le client 
et le serveur ne peuvent pas entrer directement en contact . 

EXPOSE DE L' INVENTION 
Le probleme propose par 1' invention est de concevoir une 
20 nouvelle architecture de systeme d ' information ^ r^seau, dans 
laquelle un contrdle puisse etre ex6cut6 par line autorit^ sans 
n^cessiter une connexion permanente avec I'autorite. 

On cherche simultan^ment 4 s* assurer que le contrdle est 
realise en permanence, de sorte que les transmissions soient 
25 correctement s§curis6es. 

L'id^e qui est it la base de 1' invention est d' assurer le 
contrdle effectif et permanent de la communication par un 
representant de I'autorite qui est implement^ dans ou a proximite 
immediate du client, de sorte que 1' invention peut s'appliquer a 
30 des architectures dans lesquelles le client est de petite taille et 
ne comporte pas en lui-meme les ressources necessaires pour remplir 
les f onctions de securite et les . autres f onctions de representant 
de I'autorite. 

Pour atteindre ces buts ainsi que d' autres, 1' invention 
35 prevoit un precede pour securiser les messages ^changes sur un 
reseau de transmission de donnees entre un serveur et un client, 
sous le contrdle d'une autoritfe qui d^finit les regies d'^change 
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15 



des messages ; selon 1' invention le controle est assure de manifere 
d^centralisee par un representant de I'autorit^, intercal6 en 
permanence dans le r^seau entre le serveur et le client, ^ 
proximity du client, pendant I'echange s6curis6 des messages, 

5 effectuant une traduction des messages transmis et effectuant sur 
les messages transmis les contrdles d6cid6s par I'autorit^. 

Selon un mode de realisation avantageux, on utilise ion 
premier protocole pour les ^changes entre le serveur et le 
representant de I'autorit^, et on utilise un second protocole 

10 different du premier protocole pour les echanges entre le 
representant de l'autorit6 et le client. 

En pratique, pour I'echange de messages selon 

1' invention : 

- on etablit entre le serveur et le representant de I'autorite un 
premier canal securise en utilisant une premiere cle connue du 
representant de I'autorite et du serveur mais pas du client, et en 
utilisant un premier algorithme de cryptage, 

- on etablit entre le representant de I'autorite et le client un 
second canal s6curise en utilisant une seconde cl€ connue du 
representant de I'autorite et du client mais pas du serveur, et en 
utilisant un second algorithme de cryptage. 

L' invention pr^voit 6galement un dispositif pour s6curiser 
les messages 6chang6s sur un reseau de transmission de donn^es 
entre un serveur et un client souis le contraie d'une autorit6 qui 

25 definit les regies d'echange des messages ; selon 1' invention on 
pr6voit un dispositif de contrdle decentralise ou representant de 
I'autorite, intercaie en permanence dans le reseau entre le serveur 
et le client, ^ .proximite du client, pendant I'echange securise des 
messages, effectuant une traduction des messages transmis, et 

30 effectuant sur les messages transmis les centrales decides par 
1 ' autorite . 

Selon un mode de realisation avantageux, le dispositif de 
contraie decentralise ou representant de 1* autorite est un 
microsysteme informatique materiellement securise, intercaie en 
35 permanence entre le serveur et le client pendant I'echange securise 
des messages - 

On peut avantageusement prevoir que : 



20 
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- le serveur est un systdme informatique comprenant un port 
entree-sortie ; 

- le client est un microsysteme informatique comprenant un port 
d' entree-sortie ; 

- le repr§sentant de I'autorit^ est un microsysteme informatique 
mat^riellement s6curis6 comprenant un dispositif d' interface ; 

- un syst^me specif ique d' interf agage est pr6vu, comprenant un port 
d' entr6e-sortie connecte au port d' entr6e-sortie du systeme 
informatique serveur, comprenant un port de cartes connects au port 
d' entree-sortie du microsysteme informatique client, comprenant un 
port d' entree-sortie connects au dispositif d' interface du 
microsysteme informatique representant I'autorite, et comprenant un 
controleur programme pour controler les communications entre les 
ports d' entree-sortie ; 

- le controleur et le representant de I'autorite sont programmes de 
fagon que : 

■ le systeme informatique serveur envoie une requete A au 
microsysteme informatique client, et cette requete est regue 
par le contr61eur ; 

■ le contrdleur transmet la requite A au representant de 
I'autorite, qui lui retoume une reponse Ra ; 

■ cette reponse Ra est utilisee par le contrdleur pour calculer 
une requete A' c[ui est envoyee au microsysteme informatic|[ue 
client ; 

■ la requete A' est trait6e par le microsysteme informaticjue 
client, qui prepare une reponse B' ; 

■ le microsysteme informatique client envoie la reponse B' au 
systeme informaticjue serveur / cette reponse est regue par le 
contrdleur ; 

■ le controleur transmet la reponse B' au representant de 
I'autorite, qui lui retourne une reponse Rb ; 

■ cette reponse Rb est utilisee par le controleur pour calculer 
une reponse B qui est envoyee au systeme informatique 
serveur . 

Selon une premiere application, on peut prevoir que : 

- le client est une carte ^ microprocesseur ; 

- le representant de I'autorite est line carte A microprocesseur / 
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- le systeme specif ique d' interf agage est un lecteur de cartes a 
microprocesseur comportant deux ports de cartes. 

Selon une seconde application, on peut prevoir que : 

- le client est un systeme mobile de communication ; 

5 - le serveur est un systeme informatique communiquant avec le 
client par vne connexion physique ou par un reseau de communication 
sans fil ; 

- le repr^sentant de l'autorit6 est une carte k microprocesseur 
repr6sentant I'operateur du reseau de communication sans fil (dite 

10 carte SIM dans les t616phones r^pondant aux normes GSM) . 

Selon une troisi^e application, on peut prevoir que : 

- le client est une carte a microprocesseur ; 

- le representant de l'autorit6 est un syst&ae informatique 
mat^riellement securise ; 

15 - le systeme specif ique d' interf agage est une machine comportant un 
port de cartes et une interface d' entree-sortie specif ique de 
liaison avec le systeme informatique representant de I'autorite. 

DESCRIPTION SOMMAIRE DES DESSINS 
D'autres objets, caracteristiques et avantages de la 
20 presente invention ressortiront de la description suivante de modes 
de realisation particuliers, faite en relation avec les figures 
jointes/ parmi lesquelles: 

- la figure 1 illustre schematiquement I'echange des messages entre 
le serveur et le client selon la solution g^nirale de la presente 

25 invention ; 

- la figure 2 illustre I'^change des messages entre serveur et 
client, dans 1 ' application au tele char gement d'un code executable ; 

- la figure 3 illustre la transmission de messages du serveur vers 
le client dans Tine application de cryptographic ^ cle publique ; 

30 - la figure 4 illustre un mode de realisation de 1' invention ou le 
serveur est un systeme informatique, et le client est une carte a 
microprocesseur, connectee au systeme informatique par le biais 
d'un lecteur de cartes a microprocesseur ; 

- la figure 5 illustre un mode de realisation selon la figure 4, et 
35 ou le representant de I'autorite est implements dans une autre 

carte ^ microprocesseur connectee au m§me lecteur de cartes ; 
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-* la figure 6 illustre le flux de la requete envoyee du serveur au 
client dans le mode de realisation de la figure 5 ; et 
- la figure 7 illustre le flux de la reponse envoyee du client au 
serveur dans le mode de realisation de la figure 5. 
5 DESCRIPTION DES MODES DE REALISATION PREFERES 

Comme illustre de fagon generale sur la figure 1, un 
dispositif pour securiser les messages echang^s sur un rfeseau de 
transmission de donn6es entre un serveur 1 et un client 2, sous le 
controle d'\ine autorit^ qui d^finit les regies d'echange des 
10 messages, comprend un dispositif de contrdle decentralise, 
constitue par un repr6sentant de I'autorite 3, intercaie en 
permanence dans le r^seau entre le serveur 1 et le client 2 pendant 
I'echange s6curise de messages. 

Le representant de I'autorite 3 effectue une traduction 
15 des messages, ainsi que des actions d^cidees par I'autorite. 

Du point de vue des protocoles, ce representant de 
I'autorite 3 est enti^rement transparent, dans la mesure ou le 
serveur 1 communique avec lui comme avec un de ses clients, et le 
client 2 communique avec lui comme avec un serveur. 
20 Par centre, il est des lors possible d' avoir des 

protocoles differents, soit un premier protocole P entre le serveur 
1 et le representant de l'autorit6 3, et un second protocole P' 
entre le representant de I'autorite 3 et le client 2. Le message A 
transmis par le serveur 1 est transform^ par le representant de 
25 I'autorite 3 en un message A' regu par le client 2. En retour, le 
message de reponse emis par le client 2 est transforme par le 
representant de I'autorite 3 en un message B regu par le serveur 1. 

Le representant de I'autorite 3, realisant un dispositif 
de contrdle decentralise, peut avantageusement etre dispose ^ 
30 proximite du client 2. 

Une solution avantageuse consiste a impiementer le 
representant de I'autorite 3 dans une carte a microprocesseur 
specif ique, intercalee en permanence entre le serveur 1 et le 
client 2 pendant I'echange securise de messages. 
35 Le representant de I'autorite 3 detient des secrets 

appartenant a I'autorite, qui permettent d' assurer qu'une 
communication entre le serveur 1 et le client 2 ne peut etre 
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etablie que sous son controle. Un protocole cryptographique peut 
avantageusement etre utilise pour s' assurer de 1 'utilisation du 
repr6sentant de I'autorite 3. 

Dans le cas oil le repr6sentant de l'autorit6 3 est 
5 implemente dans une carte k microprocesseur/ cela permet de 
s' assurer que les secrets detenus par ce repr6sentant de I'autorit^ 
3 sont abrit6s d'attaques exterieures. 

On d6crira maintenant un premier exemple d' utilisation de 
1' invention, pour la verification d'un code executable devant §tre 
10 t§l§charge dans le client 2. Cette application est d^crite en 
relation avec la figure 2 . 

Un serveur 1 peut §tre amene dans . certains cas a 
tei^charger du code executable dans un client 2. Toutefois, ce code 
doit repondre 4 un ensemble de propriet6s qui doivent etre 
15 verifiees par une autorite de verification avant d'autoriser ce 
chargement . Ces verifications sont destinees a assurer la securite 
du client, et sont done gen^ralement sous la responsabilite du 
proprietaire du client, 

L' invention s'adresse au cas ou le client 2 est un 
20 microsysteme informatique tel qu'une carte k microprocesseur ou un 
autre syst^me embarqu6 aux capacit^s securitaires limitees, , par 
exemple un telephone cellulaire ou un assistant num^rique 
personnel. Le chargement de programmes doit s'effectuer par le 
biais d'un canal s6curis§ entre le serveur et le client, canal 
25 s6curis6 qui permet de garantir 1' integrity et/ou la 
confidentiality des informations transmises sur le canal. 
L' etablissement de ce canal n^cessite 1' existence d'un secret 
cryptographique partage (cl^ K) entre le client 2 et le serveur 1. 

Selon 1' invention, on peut utiliser une carte a 
30 microprocesseur specif ique, qui represente 1' autorite de 
verification et constitue le representant de 1' autorite 3. La carte 
a microprocesseur est intercalee entre le serveur 1 et le client 2- 
Ce representant de 1' autorite 3 peut alors effectuer toutes les 
verifications necessaires. II 6tablit deux canaux s6curis6s pour 
35 I'echange des messages : 

- entre le serveur 1 et le representant de 1' autorite 3, un premier 
canal s^curise 4 en utilisant une premiere cie Ks connue du 
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repr6sentant de l'autorit6 3 et du serveur 1 mais pas du client 2, 
et en utilisant un premier algorithme de cryptage AL, 
- entre le repr§sentant de I'autorite 3 et le client 2 un second 
canal securis6 5 en utilisant une seconde cl6 Kc connue du 
repr^sentant de I'autorite 3 et du client 2 mais pas du serveur 1, 
et en utilisant un second algorithme de cryptage AL' . 

Cela permet d' assurer que la commvinication entre le client 
2 et le serveur 1 ne peut Stre 6tablie qu'a travers le repr^sentant 
de l'autorit6 3, et done que les verifications n6cessaires sont 
ef f ectu6es . 

Un chargement de code peut alors s'effectuer de la maniere 
suivante : 

■ le serveur 1 6tablit un premier canal s6curis6 4 avec le 
repr6sentant de I'autorite 3, en utilisant la cl6 Ks et 
1' algorithme AL ; 

■ le serveur 1 envoie le code k charger C au representant de 
I'autorite 3, par le biais du premier canal siscurise 4 ; on note 
sur la figure 2 1' indication C(AL)Ks pour indiquer que le code C 
est securise par 1 'algorithme AL et la cl6 Ks (signature et/ou 
chiffrement) ; 

- le representant de I'autorite 3 verifie les propriet6s sur le 
code C ; on denote par VC le code ainsi verifie, auquel il peut 
etre ajoute une preuve que la verification a bien ete effectuee ; 

- le representant de I'autorite 3 etablit un second canal securis6 
5 avec le client 2, en utilisant la cl6 Kc et 1' algorithme AL' ; 

■ le representant de I'autorite 3 envoie le code v6rifie VC au 
client 2 en utilisant le second canal securis6 5 etabli ci- 
dessus ; il transmet done VC(AL')Kc ; 

■ si necessaire, le client 2 renvoie une preuve de chargement P par 
le biais du second canal securise 5 : il envoie done P(AL')Kc ; 
le representant de I'autorite 3 traduit alors ce message en 
utilisant P(AL)Ks pour communiquer avec le serveur 1. 

Cette solution comporte de nombreux avantages : la 
verification peut etre effectuee de maniere systematique , sans 
toutefois necessiter une communication directe avec I'autorite de 
verification ; et la verification peut etre effectuee sans 
necessiter aucun changement du client ou du serveur : pour le 
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serveur 1, le representant de I'autorite 3 se comporte comme un 
client ; pour le client 2, le representant de I'autorite 3 se 
comporte comme un serveur. 

En outre, la solution selon 1' invention ne necessite pas 

5 de ressource suppl6mentaire dans le client 2 pour effectuer la 
verification. Elle ne n6cessite pas, non plus, que le client 2 soit 
en mesure de v6rifier des signatures eiectroniques. Egalement, la 
solution assure une grande flexibility. Enfin, la solution permet 
une implantation dans une carte a microprocesseur, qui peut ainsi 

10 fonctionner dans des environnements non connect6s. 

On decrira maintenant un second exemple d' application de 
1' invention d. la cryptographie ^ cie piablique. 

Certains protocoles cryptographiques utilises avec des 
cartes k microprocesseur sont bases sur 1 'utilisation de 

15 cryptographie a cles publiques. Toutefois, ces techniques 
cryptographiques sont couteuses, et ne sont done pas supportees par 
toutes les cartes k microprocesseur. 

Un cas particulierement interessant reside dans la 
verification de signatures electroniques permettant par exemple de 

20 garantir I'origine d'une donn^e teiecharg^e. Ces signatures 
electroniques sont gen^ralement implement6es ^ I'aide d'algorithmes 
k cie publique. Mais cela pose un probl^me aux cartes k 
microprocesseur les plus simples, et k d'autres syst^mes simples, a 
cause des ressources in^ortantes necessaires pour utiliser 

25 1 • algorithme . Ces algorithmes reposent sur une paire de cles 
(Kpriv, Kpub) - La cl6 Kpriv est utilis§e par le serveur 1 pour 
calculer la signature de la donn^es, et ne doit §tre connue que du 
seul serveur 1. La cle Kpub est utilisee pour verifier la signature 
de la donnee par le client 2, et elle peut etre dif fusee sans 

30 contrainte de conf identialite . 

Selon 1' invention on intercale, entre le serveur 1 qui 
envoie la donnee a signature electronique et le client 2 qui regoit 
la donnee et verifie la signature electronique, \m representant de 
I'autorite 3 de contrdle du client 2. Ce representant de L'autorite 

35 3 sera charg6 de verifier la signature Electronique au nom du 
client 2 et ensuite de lui coramuniquer la donnee par le biais d'un 
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canal s6curise par une cle Kc, connue uniquement du repr^sentant de 
I'autorite 3 et du client 2. 

Le processus de communication est illustr6 sur la figure 

3 : 

■ le serveur 1 calcule la signature de la donn6e D avec la cl6 
Kpriv et I'algorithme AL. Le r6sultat est D(AL)Kpriv ; 

- le serveur 1 comniunique la donn6e D et la signature au 
repr^sentant de l'autorit6 3, 6ventuellement par le biais d'un 
premier canal s6curis6 4 ; 

■ le repr6sentant de I'autoritfe 3 v6rifie la signature et la donn6e 

D ; 

- le repr6sentant de l'autorit6 3 etablit un second canal s6curis6 
5 avec le client 2 au moyen de la cl€ Kc et de I'algorithme AL' ; 

• le repr6sentant de I'autorite 3 transmet la donnee D sous la 
forme D(AL')Kc, sans la signature, au client 2 par le biais du 
second canal s6curis6 5. 

Contrairement au premier example precedent, . le 
representant de I'autorite 3 n'est pas entidrement transparent, 
dans la mesure oil le protocole utilise entre le serveur 1 et le 
representant de I'autorite 3 diff^re du protocole utilis6 entre le 
representant de I'autorite 3 et le client 2. Cette solution peut 
d'ailleurs etre utilisfee dans d'autres cas oti des traductions de 
protocole sont n6cessaires. 

Dans les exeit5>les ci-dessus, 1 ' utilisation d'un 
representant de I'autorite 3 est rendue transparente pour le 
serveur 1 et pour le client 2 d'un point de vue logique, mais les 
messages doivent toutefois etre achemines physiquement vers le 
representant de I'autorite 3 au lieu d'etre achemines vers le 
client 2 . II est done necessaire que le serveur 1 soit programme 
pour communiquer avec le representant de I'autorite 3, et non pas 
pour communiquer avec le client 2 . 

Dans les cas ou le serveur 1 est classiquement programme 
pour communiquer directement avec le client 2, et oi le serveur 1 
est un systeme informatique et le client 2 est une carte a 
microprocesseur, 1' invention propose par exemple d' integrer le 
mecanisme de representant de I'autorite 3, soit de fagon permanente 
dans un lecteur de cartes A microprocesseur 7 connectant le systfeme 
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informatique serveur 1 a la carte cliente 2, comme illustr6 sur la 
figure 4/ soit de fagon amovible dans une carte ^ microprocesseur 
distincte connectee au lecteur de carte ^ microprocesseur 1, comme 
illustre sur la figure 5. Dans ce mode de realisation de la figure 
5, le systeme informatique serveur 1 comprend un port d' entree- 
sortie la. Le systdme informatique serveur 1 est associ^ au lecteur 
de cartes k microprocesseur 7 qui comprend un port d' entree-sortie 
8 connects au port d' entree-sortie la du systeme informatique 
serveur 1. Le lecteur de cartes a microprocesseur 7 comprend un 
port de cartes 10 adapts pour connecter une carte k microprocesseur 
3 repr§sentant I'autorite, et un port de cartes 9 adapte pour 
connecter une carte ^ microprocesseur 2, le client dans cette 
realisation. La carte h microprocesseur 2 comprend un port 
d' entree-sortie 12 connects au port de cartes 9. Le lecteur de 
cartes a microprocesseur 7 comprend egalement un controleur 11 
programme pour controler les communications entre le port d' entree- 
sortie 8, le port de cartes 10, et le port de cartes 9. 

La carte a microprocesseur 3 connectee au port de cartes 
10 definit ainsi un representant de I'autorite. 

Le contraieur 11, et la carte k microprocesseur 3 (le 
representant de I'autorite) sont programmes de fagon que les flux 
de donnees se deroulent comme illustre sur la figure 6 pour une 
requete envoyee du systeme informatique serveur 1 vers la carte k 
microprocesseur cliente 2, et comme illustre sur la figure 7 pour 
une reponse retournee de la carte k microprocesseur cliente 2 vers 
le systeme informatique serveur 1. 

Pour le flux de la requete envoyee du systeme informatique 
serveur 1 vers la carte a microprocesseur cliente 2 (figure 6) : 

■ le systeme informatique serveur 1 envoie une requete A a la 
carte a microprocesseur cliente 2. Cette requete est regue par 
le controleur 11 ; 

■ le controleur 11 transmet la requete A au representant de 
I'autorite 3, qui lui retourne une reponse Ra / 

■ cette reponse Ra est utilisee par le contr61eur 11 pour calculer 
une requete A' qui est envoyee a la carte a microprocesseur 
cliente 2. 
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Le flux de r^ponse retourn6 par la carte k microprocesseur 
cliente 2 au syst^me informatique serveur 1 se d6roule de la. fagon 
suivante (figure 7) : 

■ la carte ^ microprocesseur cliente 2 envoie une r§ponse B' au 
systeme informatique serveur 1. Cette r6ponse est reqrue par le 
contr61eur 11 ; 

- le contrdleur 11 transmet la r6ponse B' au repr6sentant de 
l'autorit6 3, qui lui retoume une r6ponse Rb ; 

- cette r6ponse Rb est utilis6e par le controleur 11 pour calculer 
vine r^ponse B qui est envoySe au systdme informatique serveur 1. 

Dans le cas le plus sinqole, les r6ponses Ra et Rb peuvent 
§tre une simple encapsulation des messages transform6s A et B' . 

Les figures 5^7 peuvent aussi servir pour illustrer le 
mode de realisation dans lequel le representant de I'autorite 3 est 
un microsyst^e informatique mat^riellement securis6, comprenant un 
dispositif d- interface 13. Le port d- entree-sortie 10 du syst&ne 
d' inter fa<?age 7 est alors raccorde au dispositif d' interface 13. 

La presente invention n'est pas limit6e aux modes de 
realisation qui ont ete explicitement d6crits, mais elle en inclut 
les diverses variantes et generalisations contenues dans le domaine 
des revendications ci-apres. 
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REVENDICATIONS 

1 - Precede pour securiser les messages echanges sur un 
reseau de transmission de donnees entre un serveur (1) et un client 

(2) de petite taille et ne comportant pas en lui-meme les 
5 ressources necessaires pour remplir les fonctions de securite, sous 

le contraie d'une autorite qui definit les regies d'echange des 
messages, caract6ris6 en ce que le contrdle est assure de manifere 
decentralis^e par un representant de 1» autorite (3), intercal^ en 
permanence dans le reseau a proximity du client (2) et entre le 
10 serveur (1) et le client (2) pendant I'echange s§curis6 des 
messages, effectuant tine traduction des messages transmis et 
effectuant sur les messages transmis les centrales d6cid6s par 
1 ' autorit6 . 

2 - Proc6d6 selon la revendi cation 1, caracterise en ce 
15 qu'on utilise xin premier protocole (P) pour les echanges entre le 

serveur (1) et le representant de I'autorite (3), et on utilise un 
second protocole (P') different du premier protocole (P) pour les 
echanges entre le representant de I'autorite (3) et le client (2). 

3 - Precede selon I'une des revendications 1 ou 2, 
20 caracterise en ce que, pour I'echange de messages : 

- on etablit entre le serveur (1) et le representant de l"autorit6 

(3) un premier canal securis6 (4) en utilisant une premiere cl6 
(Ks) connue du representant de I'autorite (3) et du serveur (1) 

mais pas du client (2), et en utilisant un premier algorithme de 
25 cryptage (AL) , 

- on etablit entre le representant de I'autorite (3) et le client 
(2) un second canal securise (5) en utilisant une seconde cie (Kc) 
connue du representant .de I'autorite (3) et du client (2) mais pas 
du serveur (1), et en utilisant un second algorithme de cryptage 

30 (AL'). 

4 - Dispositif pour securiser les messages echanges sur un 
reseau de transmission de donnees entre un serveur (1) et un client 
(2) de petite taille et ne comportant pas en lui-meme les 
ressources necessaires pour remplir la fonction de securite, sous 

35 le contrdle d'une autorite qui definit les regies d'echange des 
messages, caracterise en ce qu'il comprend un dispositif de 
controle decentralise ou representant de I'autorite (3), intercaie 
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en permanence dans le reseau ^ proximite. du client (2) et entre le 
serveur (1) et le client (2) pendant I'echange securis§ des 
messages, effectuant une traduction des messages transmis, et 
effectuant sur les messages transmis les contrdles decides par 
5 1 ' autorit6 . 

5 - Dispositif selon la revendication 4^ caracteris^ en ce 
que le dispositif de contrdle d6centralis6 ou repr^sentant de 
l'autorit6 (3) est un microsyst&ae informatique mat^riellement 
securise, intercal^ en permanence entre le serveti^ (1) et le client 

10 (2) pendant I'echange des messages. 

6 - Dispositif selon la revendication 5^ caract§ris6 en ce 

que : 

- le serveur (1) est un systeme informatique coic^renant un port 
d' entree-sortie (la) ; 

- le client (2) est un microsysterae informatique conprenant un port 
d' entr§e-sortie (12) ; 

- le repr^sentant de I'autorite (3) est un microsysteme 
informatique materiellement securise comprenant un dispositif 
d' interface (13) ; 

- un systeme specif ique d' interf a<?age (7) est pr6vu, comprenant un 
port d' entree-sortie (8) connecte au port d' entree-sortie (la) du 
systeme informatique serveur (1), comprenant un port de cartes (9) 
connects au port d' entree-sortie (12) du microsysteme informatique 
client (2), conprenant un port d' entree-sortie . (10) connecte au 
dispositif d' interface (13) du microsysteme informatique 
representant I'autorite (3), et con^renant un contrdleur (11) 
programme pour contr61er les communications entre les ports 
d' entree-sortie (8)^ (9) et (10) ; 

- le contraieur (11) et le representant de I'autorite (3) sont 
30 programmes de fagon que : 

■ le systeme informatique serveur (1) envoie une requete A au 
microsysteme informatique client (2) , et cette requete est 
regue par le controleur (11) ; 

■ le controleur (11) transmet la requete A au representant de 
35 I'autorite (3), qui lui retourne une reponse Ra ; 
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- cette r^ponse Ra est utilisee par le controleur (11) pour 
calculer une requete A' qui est envoyee au microsyst^me 
informatique client (2) ; 

■ la requete A' est traitee par le microsystSme informatique 
5 client (2), qui pr6pare une reponse B' ; 

- le microsyst&ae informatique client (2) envoie la reponse B' 
au syst^me informatique serveur (1) ; cette' reponse est regue 
par le contrdleur (11) ; 

■ le controleur (11) transmet la reponse B' au repr^sentant de 
10 l'autorit6 (3), qui lui retourne une reponse Rb ; 

■ cette reponse Rb est utilisee par le contrdleur (11) pour 
calculer line r§ponse B qui est envoyee au systeme 
informatique serveur (1) . 

7 - Dispositif selon la revendication 6, caract^rise en ce 

15 que : 

- le client (2) est une carte a microprocesseur ; 

le representant de I'autorite (3) est une carte a 
microprocesseur ; 

- le systeme specif ique d' interf agage est un lecteur de cartes k 
20 microprocesseur (7) comportant deux ports de cartes (9) et (10) . 

8 - Dispositif selon la revendication 6^ caract6ris6 en ce 

que : 

- le client (2) est un systeme mobile de communication ; 

- le serveur (1) .est un syst^e informatique communiquant avec le 
25 client (2) par une connexion physique ou par un r^seau de 

communication sans fil ; 

- le representant de I'autorit^ (3) est une carte a microprocesseur 
representant I'op^rateur du r6seau de communication sans fil (dite 
carte SIM dans les telephones repondant aux normes GSM) . 

30 9 - Dispositif selon la revendication 6, caracterise en ce 

que : 

- le client (2) est une carte a microprocesseur / 

- le representant de I'autorite (3) est un systeme informatique 
materiel lement securis6 ; 

35 - le systeme specif ique d' interf agage (7) est une machine 
comportant un port de cartes (9) et une interface d' entr6e-sortie 
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specif ique (10) de liaison avec le syst^me inf ormatique 
representant de l'autorit§ (3). 
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